APIs — abreviação de "interface de programação de aplicativos" — são as bases de muitos aplicativos web modernos. Mais precisamente, elas conectam servidores, endpoints e software de uma forma que possibilita a execução de qualquer número de funções em meros milissegundos, desde a sincronização de dados móveis com a nuvem até a habilitação do desenvolvimento de aplicativos sem código.
Como acontece com qualquer coisa conectada à internet, quanto mais difundido o uso da API, mais ela se torna um alvo atraente para os invasores. E os ataques de API parecem ter atingido um recorde histórico; uma pesquisa recente observou que 53% dos entrevistados sofreram uma violação de dados devido a tokens de API comprometidos.
Essa proliferação destaca lacunas críticas nas práticas e soluções de segurança tradicionais. À medida que as organizações avançam em implantações de segurança mais modernas, elas devem enfrentar três desafios principais ao proteger suas APIs:
Os serviços de API são difíceis de proteger em vários ambientes de nuvem.
O desenvolvimento e a segurança de APIs não andam de mãos dadas.
Os serviços de segurança legados não foram projetados com a proteção de API em mente.
Para resolver essas lacunas, as soluções de segurança de APIs modernas devem fornecer defesa contra ameaças a APIs automatizada e escalável que permita que a segurança e a engenharia fiquem à frente de explorações zero-day e ataques personalizados. É aí que entra a proteção de aplicativos web e de APIs (WAAP): uma plataforma dedicada de serviços de segurança projetada especificamente para gerenciar e proteger APIs contra uma variedade de ameaças emergentes complexas.
Assim como as próprias APIs, os ataques de API estão aumentando rapidamente em tamanho e sofisticação. E o preço para corrigi-los está crescendo.
Em um relatório da Comissão de Valores Mobiliários dos Estados Unidos, a T-Mobile divulgou uma violação significativa de dados causada por uma API exposta. Ao longo de dois meses, o invasor obteve acesso aos dados pessoais de 37 milhões de contas de clientes, incluindo informações de cobrança, endereços de e-mail e números de telefone.
Em uma escala ainda maior, o Twitter se tornou um alvo devido a uma vulnerabilidade de API não corrigida que permitia aos usuários acessar endereços de e-mail e números de telefone associados. O bug não foi detectado por sete meses; nesse tempo, os invasores já haviam divulgado informações de contas pertencentes a 235 milhões de usuários.
Mesmo para organizações que atendem a uma base de usuários menor do que essas grandes empresas, as vulnerabilidades de API podem abrir as portas para ataques devastadores. A exfiltração de dados confidenciais do usuário pode prejudicar de forma irreversível a reputação da marca e a confiança do cliente, permitir movimentos laterais internos ou resultar em grandes perdas financeiras e implicações legais duradouras.
Exatamente quanto isso custa às organizações? Uma estimativa coloca o custo da insegurança de APIs (violações devido a erros ou explorações de APIs) em torno de 41 a 75 bilhões de dólares em perdas anuais.
Na corrida para proteger as APIs antes desses ataques, as organizações enfrentam três desafios principais:
Os serviços de API são difíceis de proteger em ambientes híbridos e multinuvem. A organização grande média tem centenas de APIs conhecidas, geralmente mantidas em vários ambientes de nuvem ou híbridos. Esse tipo de implantação desarticulada torna o processo de proteção e supervisão de APIs exponencialmente mais complexo, além de consumir recursos internos valiosos necessários para escalar. Em um relatório, 78% dos entrevistados disseram que gerenciam mais de 250 tokens, chaves e certificados de API diferentes em suas redes, e, à medida que o uso de APIs aumenta, o fardo de manter processos manuais de segurança em vários ambientes pode levar a descuidos inadvertidos.
O desenvolvimento e a segurança de APIs não andam de mãos dadas. Engenheiros e desenvolvedores estão continuamente criando e publicando APIs, mas muitas vezes não se comunicam com a segurança para protegê-las. Com o rápido aumento no desenvolvimento de APIs, torna-se quase impossível detectar e corrigir todas as vulnerabilidades antes do envio, forçando a segurança a recuperar o atraso.
Os serviços de segurança tradicionais não foram criados com a proteção de APIs em mente. Ataques a API, desde a exfiltração de dados até explorações de autorização e autenticação, geralmente dependem de uma compreensão profunda e contextual das funções de uma API específica e de possíveis vulnerabilidades. Embora os conjuntos de ferramentas existentes (incluindo firewalls de aplicativos web, gerenciamento de bots, mitigação de DDoS e mais) tenham continuado a expandir suas funções para proteger as APIs de ataques comuns, eles não foram projetados para a natureza especializada de ameaças a APIs, nem oferecem o tipo de controles granulares necessários para documentar, analisar e defender APIs em escala.
Os invasores que adaptam suas táticas para vulnerabilidades específicas da API exigem que as organizações personalizem as defesas contra ameaças; incluindo uma compreensão profunda dos comportamentos e riscos da API, ao mesmo tempo em que permite que a Engenharia e a Segurança simplifiquem as operações.
Cada vez mais, as soluções de segurança de API modernas se enquadram em uma pilha de segurança baseada em nuvem que o Gartner chama de “Proteção de aplicativos web e APIs (WAAP)”. As soluções WAAP comuns incluem os seguintes recursos principais:
Um firewall de aplicativos web de próxima geração (NGFW) para filtrar o tráfego indesejado, evitar explorações zero-day e aplicar políticas de segurança de rede.
Proteção contra Negação de Serviço Distribuída (DDoS) para mitigar ataques volumétricos e de longa duração.
Gerenciamento de bots para bloquear comportamentos maliciosos de bots usando uma combinação de impressão digital, heurística e aprendizado de máquina.
Proteção de APIs para analisar, categorizar e personalizar os controles sobre o tráfego de APIs, ao mesmo tempo em que fornece proteção robusta do lado do cliente contra explorações de JavaScript.
Uma das principais vantagens de uma solução WAAP é que ela oferece às organizações maior visibilidade e controle sobre suas APIs. Os recursos de descoberta de APIs permitem que a segurança descubra, catalogue e monitore endpoints de API, enquanto a detecção de abuso de APIs usa detecção avançada de anomalias para rastrear e analisar padrões de tráfego maliciosos e interromper ataques volumétricos.
Além de fortalecer as defesas de APIs contra ataques complexos e persistentes, o WAAP também ajuda a proteger as APIs em vários ambientes de nuvem. Um catálogo central de APIs ajuda a estabelecer uma linha de base de APIs organizacionais, a partir das quais a segurança pode aplicar políticas uniformes sem perder a visibilidade.
Durante a recente avaliação de fornecedores de WAAP da Gartner, a Cloudflare foi designada como “Líder” em segurança de aplicativos da web e APIs.
Com uma rede global que abrange mais de 330 locais, e processa mais de 45 milhões de solicitações HTTP por segundo em média, a Cloudflare tem uma visão única sobre padrões de rede, vetores de ataque e tráfego de APIs. Essa visibilidade ajuda a expandir e fortalecer um conjunto de serviços de segurança integrados, incluindo recursos de descoberta de APIs, gerenciamento e análise de APIs e defesas de APIs em camadas que monitoram o tráfego em busca de comportamento anômalo e mitigar ataques DDoS volumétricos, atividade de bot maliciosos e muito mais.
O portfólio WAAP da Cloudflare diminui a carga de configuração manual e manutenção para segurança. O Centro de segurança da Cloudflare oferece um local único para que as organizações rastreiem, investiguem e mitiguem ameaças em todo o cenário de APIs, sem implantações adicionais ou preocupações de dimensionamento.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Acesse o Gartner® Magic Quadrant™ for Web Application and API Protection (WAAP) para saber porque a Cloudflare foi classificada como Líder.
Após ler este artigo, você entenderá:
Por que as APIs continuam sendo um dos principais alvos dos invasores
Como 53% das organizações sofreram uma violação de dados devido a tokens de API comprometidos
Os três desafios da segurança da API
Como o WAAP aborda as preocupações da API